Angeblicher DDoS Angriff ausgehend von meinem Server?

Hallo,

ich habe einen WinServer bei hosteurope.de gemietet auf den ich per Remote-desktop-connection zugreifen kann. Seit ettlichen Wochen läuft dieser ohne Probleme und dient zum Hosten verschiedene Game/Voice server.

Heute kam eine email vom support, mein Server hätte angeblich eine DDOS attacke gestartet. Mir konnte weder das Ziel noch die Uhrzeit etc. genannt werden (nachfrage läuft). Man sagte nur es könne am falsch eingestellen DNS server liegen (der von mir noch nie verändert wurde und schon seit monaten so läuft), ich solle per "nslookup hosteurope.de <ip>" nachkucken was sache ist. Die anwort von nslookup lautet (mit veränderten Zahlen....hab ka was die bedeuten, außer das die erste adress eben die von meinen server ist)

=========
Server: rs123456.hosteurope.de
Adress: 123.456.789.9

Nicht autorisierende Antwort:
Name: hosteurope.de
Adresses: 2a01:blabla
123.456.4231654
=======

Also, ich hab ka was die von mir wollen. Der traffic in den letzten paar Tagen war eher gering (sagt das was über eine ausgehende ddos attacke aus?).

Könnt ihr mit weiterhelfen was sache ist? Hat jmd unseren server gehackt?

Vielen Dank für eure Hilfe im Vorraus,
fastgiga

 

So eine Attacke lebt eigentlich davon, dass Tausende Rechner gleichzeitig auf einen Server bzw. eine Seite zugreifen und sie damit in die Knie zwingen. Da entsteht auf einem einzelnen Rechner quasi Null Traffic. Allenfalls eine gehäufte Anzahl an Anfragen auf eben einen anderen Rechner könntest Du vielleicht feststellen.

Welche DNS-Server sind denn nun genau eingestellt auf dem Windows(?).

 

Kann ich das so deuten dass die aussage "mein server hat einen DDoS angriff gestaret" schwachsinn ist? Ich meine, so wie ich das verstehe kann ein einziger server zwar eine attacke starten, aber da das nur ein server ist und nicht hunderte ist die auswirkung so als wenn ich auf meinem pc google aufrufe und ständig f5 hämmere....nüchts.

Äh ja ka. Hab da überhaupt nichts drann geändert. Also müssten es eben die DNS server sein die von anfang an eingerichtet sind. Es handelt sich üprigens um "Windows Server 2008"...falls das weiterhilft.

*Edit*
Hab grade nachgekuckt, es sind die server 80.237.128.144 und .145 angegeben, das sind die die von hosteurope.de vorgegeben werden...

 

Die Aussage ist kein Schwachsinn, allenfalls etwas unglücklich formuliert. Es kann ja trotzdem sein, dass Dein Server "teilgenommen" hat an der Attacke.

Na wenn dort die üblichen DSN-Server eingetragen sind, dann würde ich dem Support das so mitteilen.
Falls da aber wirklich ein Schädling drauf ist, würde es mich nicht wundern, wenn der für die Dauer des Angriffes mal schnell die für ihn nützlichen Einstellungen ändert und danach wieder alles auf Standard stellt, um die Spuren zu verwischen.

Ein paar mehr Infos sollte der Support jedenfalls liefern, vor allen zum exakten Zeitpunkt, damit Du ins Logfile/Ereignisanzeige gucken kannst, was da vielleicht auffälliges auf dem Server passiert ist.

 

Was laufen denn auf der Kiste üblicher Weise für Dienste?

 

Hm, meinsu nur Dienste oder auch irgendwelche Tasks?

Von den standardsachen die man auf jedem win2008 server findet abgesehen haben wir die folgenden programme laufen:
TS3 server
Murmur
tf2-server
minecraft-server
Personal FTP-Server 6.0f(g)
Ghost
Trackmania Server
Terraria Server

Plesk is zwar installiert, läuft aber nicht. Ansonsten haben wir an dem server nichts verändert.

 

Erstmal danke für die Hilfe.

Der support hat sich gemeldet. Die haben keine ahnung wann der angebliche Angriff stattfand und auch nicht was unser server angeblich gemacht hat, nur das "viele" udp packete gesendet wurden.

Weiter haben die gesagt wir sollen PLESK einrichten, was ich dann auch gemacht habe und in cmd das eingeben:
cd %plesk_cli%
server_dns.exe --update-server -recursion localhost

danach sollte das Problem gelöst sein und bei
nslookup hosteurope.de <ihre-server-ip>
als antwort sowas wie
"g.root-servers.net " rauskommen.

Stimmt aber leider nicht, das hier kommt tatächlich raus:
======
Server: WIN-3XF5QJCVFDJ.dedicated.hosteurope.de
Adress: 91.250.86.102

***hosteurope.de wurde von WIN-3XF5QJCVFDJ.dedicated.hosteurope.de nicht gefunden: Query refused.
======

Ich bin noch immer nicht schlauer geworden. Ich kann zwar verstehen dass PLESK irgendwas mit den DNS servern macht, aber da ich bei meinem ehemaligen anbieter plesk auch nicht verwendet habe glaube ich das irgendwie nicht. Bisher war plesk zwar installiert, aber da wir einen anderen ftp server benutzt haben einfach beendet und aus dem autostart rausgenommen.